Google Chrome 72 丟棄HPKP，再也不支持TLS1.0和TLS1.1!

Mozilla發佈Firefox 65 幾個小時後，谷歌也發佈了最新的Chrome 72，併爲Windows、Mac、Linux和Android用戶提供了更新的版本。

注：谷歌Chrome增長了下載驅動保護功能。

雖然在過去的3-4個版本中，谷歌在Chrome UI和UX(用戶界面和用戶交互)方面的變化已經給用戶帶來了很大的影響，可是現在的版本變化對瀏覽器的底層Web APIs和協議的影響更大。

在全部的變化中，Chrome 72有三個重要的更新是用戶須要知道的。其中最重要的是徹底刪除對基於HTTP的公鑰固定(HPKP)標準(RCF 7469)的支持。

谷歌早在2017年10月就宣佈了關於HPKP的長期計劃，並在2018年3月發佈的Chrome 65中首次丟棄了HPKP。

因爲已被丟棄，Chrome會在網站全部者的開發控制檯上顯示錯誤。如今它被棄用了，因此Chrome再也不支持網站使用HPKP，拒絕固定公鑰。幸運的是，這不會影響到太多的網站，由於HPKP實現起來很麻煩，只有不多的網站曾經使用過它。

目前支持HPKP的網站全部者可能應該中止了，做爲世界上最受歡迎的瀏覽器，Chrome將再也不支持公鑰固定。

Chrome 72版本的第二個主要變化是不會呈現任何經過FTP協議加載的資源。

Chrome將繼續顯示FTP目錄列表，但當網站加載一個託管在FTP連接上的圖像或JavaScript文件時，替代呈現圖像或運行文件，Chrome會提示用戶下載它。

Chrome 72的第三個主要變化是再也不支持過期的TLS 1.0和TLS 1.1標準。這一舉動只是Chrome 81採起的取消支持這兩個標準的第一步。Chrome 81計劃在2020年初發布。

谷歌曾在去年與Apple、Microsoft和Mozilla一塊兒宣佈過這些計劃。Apple、Microsoft和Mozilla表示，他們將在各自的瀏覽器上執行這些計劃。

Chrome 72再也不支持TLS 1.0和TLS 1.1，這意味着當用戶訪問遺留有TLS 1.0或1.1證書的HTTPS站點時，Chrome會在開發人員控制檯顯示錯誤，但不會阻止用戶訪問站點。從Chrome 81開始，將會阻止用戶訪問。

Chrome如今的新版本號是72.0.3626.81。Windows、Mac、Linux和Android用戶使用Chrome的內置更新器可以安裝更新。完整的Chrome 71修改日誌在此查看。

在Chrome 72中，谷歌修復了58個安全漏洞。來自 Chromium和 Google Developers 團隊的兩篇博文詳細介紹了Chrome 72以開發人員爲中心的特性。

【來自SSL中國】